WEB攻防-asp安全

最新推荐文章于 2024-11-26 14:24:14 发布

K丶0x01

最新推荐文章于 2024-11-26 14:24:14 发布

阅读量926

点赞数 1

CC 4.0 BY-SA版权

分类专栏：笔记文章标签：安全数据库 web安全

原文链接：https://blog.youkuaiyun.com/qq_44867432/article/details/122365743

笔记专栏收录该内容

3 篇文章

订阅专栏

WEB攻防-ASP安全

一、ASP安全&MDB下载植入&IIS短文件名&写权限&解析

1、ASP环境搭建组合
2、ASP-数据库下载&植入
3、IIS-短文件&解析&写权限
核心点：关注于该语言开发的特性漏洞，通用性漏洞不区分语言

1、ASP-环境搭建组合

windows iis asp access/sql server

iis中间件***

asp开发源码漏洞***

数据库安全问题：较少

windows安全漏洞：较少

2、ASP-数据库-MDB默认下载

access数据库一般后缀名mdb(下载)、asp 、asa （执行解析）

mdb文件在网站目录下，思路：如果知道数据库的地址，可尝试下载获取数据库文件，获取当前管理员账号密码信息。

默认下载：使用asp+access数据库，却不修改默认mdb地址。IIS不能解析MDB文件，当成普通文件下载。（文件服务器端不会解释，客户端浏览器也不会解释，所以就下载到本地。）

思路：位置地址：如果没有修改默认数据库文件位置可尝试默认数据库配置（即本地搭建后默认存放的数据库文件与其他文件位置（比如admin后台管理页面等），没修改。）或采用扫描

1.IIS 5.x/6.0解析漏洞

2.目录解析:在网站下建立文件夹的名称中带有.asp，.asa等可执行脚本文件后缀为后缀的文件夹，其目录内的任何扩展名的文件都被IIS当作可执行文件来解析并执行。

3.http://www.xxx.com/xx.asp/xx.jpg

4.文件解析:在IIS6.0下，分号后面的不被解析，也就是说6.0下，分号后面的不被解析，也就是说xx.asp;.jpg将被当做xx.asp解析并执行。http://www.xxx.com/xx.asp;.jpg 在文件改名时也可以尝试 xx.asp;jpg

5.IIS6.0 默认的可执行文件有asp、asa、cer、cdx四种。

6.注意：这两个漏洞，是需要在服务器的本地硬盘上确实存在这样的文件或者文件夹，若只是通过web应用映射出来的Url，则是无法触发的。

IIS6.0把asp、asa、cdx、cer解析成asp文件，原因是这四种扩展名都是用的同一个asp.dll文件来执行。而对于mdb：IIS不能解析MDB文件，当成普通文件下载。
在这里插入图片描述

以动易网络cms为例：若使用动易网络cms的网站不修改默认数据库及其他文件路径可通过默认路径得到数据库文件进而得到网站管理员账号密码，对于网站管理员后台也可采用同样的思路。

http://192.168.49.146/Database/PowerEasy2006.mdb
http://192.168.49.146/Admin/Admin_Login.asp

3、ASP-数据库-ASP后门植入连接

数据库是asp，asp可解析，向asp数据库文件写入一句话木马可以直接连上去，此时访问数据库文件将会被服务器当成代码文件执行，所以图片里面的代码就会被执行。

以aspcms为例:

aspcms主要是信息发布系统，数据库默认配置为asp，目录在/data/data.asp下。

漏洞成因：在留言板处对信息处理不当，导致代码注入。可直接将一句话木马插入数据库。

利用方法：保证默认数据库路径未更改且可留言。

┼攠數畣整爠煥敵瑳∨≡┩愾

菜刀测试效果：在这里插入图片描述

4、ASP-中间件-IIS短文件名探针-安全漏洞

为兼容16位MS-DOS程序，Windows为文件名较长的文件（和文件夹）生成了对应的windows 8.3 短文件名。

在Windows下查看对应的短文件名，可以使用命令 dir /x

由于短文件名的长度固定，可直接对短文件名进行暴力破解，从而访问对应的文件。

短文件名特征：

\1)  只有前六位字符直接显示，后续字符用~1指代。其中数字1还可以递增，如果存在多个文件名类似的文件（名称前6位必须相同，且后缀名前3位必须相同）。

\2)  后缀名最长只有3位，多余的被截断。

\3)  访问构造的某个存在的短文件名，会返回404

\4)  访问构造的某个不存在的短文件名，会返回400

漏洞局限性：

1)   只能猜解前六位，以及扩展名的前3位

2)   名称较短的文件是没有相应的短文件名

3)   需要IIS和.net两个条件都满足

漏洞利用：

需要使用到通配符。在windows中，可以匹配n个字符，n可以为0。判断某站点是否存在IIS短文件名暴力破解，构造payload
1

用途：

探针网站目录结构，可探针数据库或后台地址。利用工具：iis_shortname_Scan.py

以aspcms为例：

E:\python2.7>python2.exe ./IIS_shortname_Scanner-master\IIS_shortname_Scanner-master/IIS_shortname_Scan.py  http://192.168.49.146:81/
Server is vulnerable, please wait, scanning...
[+] /a~1.*      [scan in progress]
[+] /p~1.*      [scan in progress]
[+] /t~1.*      [scan in progress]
[+] /ad~1.*     [scan in progress]
[+] /pr~1.*     [scan in progress]
[+] /te~1.*     [scan in progress]
[+] /adm~1.*    [scan in progress]
[+] /pro~1.*    [scan in progress]
[+] /tem~1.*    [scan in progress]
[+] /admi~1.*   [scan in progress]
[+] /prod~1.*   [scan in progress]
[+] /temp~1.*   [scan in progress]
[+] /admin~1.*  [scan in progress]
[+] /produ~1.*  [scan in progress]
[+] /templ~1.*  [scan in progress]
[+] /admin_~1.* [scan in progress]
[+] /produc~1.* [scan in progress]
[+] /templa~1.* [scan in progress]
[+] /admin_~1   [scan in progress]
[+] Directory /admin_~1 [Done]
[+] /produc~1   [scan in progress]
[+] Directory /produc~1 [Done]
[+] /templa~1   [scan in progress]
[+] Directory /templa~1 [Done]
----------------------------------------------------------------
Dir:  /admin_~1
Dir:  /produc~1
Dir:  /templa~1
----------------------------------------------------------------
3 Directories, 0 Files found in total
Note that * is a wildcard, matches any character zero or more times.

5、ASP-中间件-IIS文件上传解析-安全漏洞

IIS6.0解析漏洞

在 Windows 2003 IIS 6.0 下有两个漏洞，IIS 6.0并不是只根据文件的最后一个后缀名来判断文件的运行方式，这就引发了IIS目录解析漏洞和文件名解析漏洞。

IIS目录解析漏洞

对于名字为.asp后缀的文件夹，IIS会将该文件夹内部的文件都解析为.asp文件来执行。即a.asp/1.jpg中的1.jpg会作为asp文件执行。

IIS文件名解析漏洞

对于名字诸如a.asp;.jpg文件，IIS并非以最后一个后缀名来判断格式，故会将其解析为asp文件并执行。即如果上传木马的后缀为 .asp;.jpg 就可以被服务器执行。

IIS6.0 默认的可执行文件除了asp还包含asa\cer\cdx这三种。

//文件名解析
http://192.168.49.146:81/a.asp;.jpg
//文件目录解析
http://192.168.49.146:81/a.asp/1.jpg

6、ASP-中间件-IIS配置目录读写-安全配置

在web服务扩展中开启了WebDAV，配置了可以写入的权限，存在PUT任意文件写入漏洞。

利用方式：桂林老兵iiswrite，用PUT / MOVE 之类的请求方式往服务器传后门文件，然后改文件名使用菜刀连接。

以本地搭建的web网站为例：

（1）开启WebDAV与写入权限，使用iisputscanner扫描

（2）使用桂林老兵iisWriter上传webshell到服务器，首先上传一个txt文件，上传之后再重命名为asp文件。

第一步：选择PUT上传webshell，后缀为txt，然后提交数据包，会在服务端上传一个test.txt文件：

第二步：test.txt无法被iis解析，利用MOVE将txt的文件修改为可解析执行的asp，但是直接上传失败，利用文件解析漏洞再次上传成功。

第三步：使用中国菜刀连接成功

7、总结

web攻防：大部分集中在前两个

1、web源码***

2、开发语言***

3、中间件平台(和某些漏洞配合)

4、数据库类型

5、第三方插件或软件
————————————————
转自：https://blog.youkuaiyun.com/qq_44867432/article/details/122365743